FORMA

FORMA Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: forma.exe или что-то иное. 

© Генеалогия: HiddenTear >> FORMA

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину декабря 2018 г. Ориентирован на польскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ODSZYFRFUJ_PLIKI_TERAZ.txt

На русский название переводится как Расшифруйте файлы сейчас. Одна буква "F" лишняя. 

Содержание записки о выкупе:

UWAGA !!! WSZYSTKIE TWOJE PLIKI ZOSTAŁY ZAKODOWANE KLUCZEM SZYFRUJĄCYM! ODZYSKANIE PLIKÓW JEST MOŻLIWE TYLKO ZA POMOCĄ KLUCZA DESZYFRUJĄCEGO.

NIC STRACONEGO, PRZEZ NASTĘPNE 48H POSIADAMY TWÓJ KLUCZ DESZYFRUJĄCY NA NASZYM SERWERZE!

SKONTAKTUJ SIE POD ADRES

EMAIL : deszyfrujacy@yandex.com ABY ODZYSKAĆ DOSTĘP DO PLIKÓW - UWAGA!

PO 48H OD ZASZYFROWANIA PLIKÓW TWÓJ KLUCZ DESZYFRUJĄCY ZOSTAJE AUTOMATYCZNIE USUNIĘTY Z NASZEGO SERWERA A ODZYSKANIE PLIKÓW STANIE SIĘ NIE MOŻLIWE.

W ŻADNYM WYPADKU NIE ZAMYKAJ KOMPUTERA ANI PROGRAMU DESZYFRUJĄCEGO - MOŻE TO SPOWODOWAĆ UTRUDNIENIE W PRZYWRÓCENIU PLIKÓW.

GWARANTUJEMY ODZYSKANIE WSZYSTKICH PLIKÓW!

Перевод записки на русский язык:

ВНИМАНИЕ !!! ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ КЛЮЧОМ ШИФРОВАНИЯ! ВОССТАНОВЛЕНИЕ ФАЙЛОВ ВОЗМОЖНО ТОЛЬКО С ПОМОЩЬЮ КЛЮЧА ДЕШИФРОВАНИЯ.

НИЧЕГО НЕ ПОТЕРЯНО, В ТЕЧЕНИЕ СЛЕДУЮЩИХ 48 ЧАСОВ У НАС ЕСТЬ ВАШ КЛЮЧ ДЕШИФРОВАНИЯ НА НАШЕМ СЕРВЕРЕ!

КОНТАКТНЫЙ АДРЕС

ЭЛЕКТРОННАЯ ПОЧТА: deszyfrujacy@yandex.com ДЛЯ ВОССТАНОВЛЕНИЯ ДОСТУПА К ФАЙЛАМ - ВНИМАНИЕ!

ПОСЛЕ 48 ЧАСОВ ШИФРОВАНИЯ ВАШИХ ФАЙЛОВ КЛЮЧ ДЕШИФРОВАНИЯ АВТОМАТИЧЕСКИ УДАЛИТСЯ С НАШЕГО СЕРВЕРА, И ВОССТАНОВЛЕНИЕ ФАЙЛОВ БУДЕТ НЕВОЗМОЖНО.

НЕ ВЫКЛЮЧАЙТЕ КОМПЬЮТЕР ИЛИ ПРОГРАММУ ДЕШИФРОВАНИЯ НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ - ЭТО МОЖЕТ ЗАТРУДНИТЬ ВОССТАНОВЛЕНИЕ ФАЙЛОВ.

МЫ ГАРАНТИРУЕМ ВОССТАНОВЛЕНИЕ ВСЕХ ФАЙЛОВ!

Другим информатором жертвы является экран блокировки.

Содержание текста:
аналогично тому, что есть в текстовом файле.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Создает и использует следующий файл дл автозапуска и распространения: 
%APPDATA%\Roaming\Microsoft\Windows\Start menu\Programs\Startup\syswin32.lnk

➤ Инжектирует код в процесс adobeacrobatreader.exe

Список файловых расширений, подвергающихся шифрованию:
.avi, .bmp, .doc, .docx, .html, .jpeg 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ODSZYFRFUJ_PLIKI_TERAZ.txt
1.bat
2.bat
3.bat
4.bat
admin.exe
adobeacrobatreader.exe
forma.exe
invisible.vbs
ystemkey.txt
winsys.txt
winsys2.txt
winsys3.txt
table.exe
cabacca.tmp
taraccb.tmp
syswin32.lnk
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\1.bat
%TEMP%\2.bat
%TEMP%\3.bat
%TEMP%\4.bat
%TEMP%\admin.exe
%TEMP%\adobeacrobatreader.exe
%TEMP%\forma.exe
%TEMP%\invisible.vbs
%HOMEPATH%\systemkey.txt
%HOMEPATH%\winsys.txt
%HOMEPATH%\winsys2.txt
%HOMEPATH%\winsys3.txt
%HOMEPATH%\table.exe
%TEMP%\cabacca.tmp
%TEMP%\taraccb.tmp
%APPDATA%\Roaming\Microsoft\Windows\Start menu\Programs\Startup\syswin32.lnk

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://szybkiplik.pl
xxxx://repository.certum.pl
xxxx://subca.ocsp-certum.com
xxxx://h.ocsp-certum.com/***

Email: deszyfrujacy@yandex.com

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 🎥 Video review >>

 - Видеообзор от CyberSecurity GrujaRS

 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Kali

Kali Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .kali


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
ATTENTION ! ! !
The important files on your computer have been encrypted with military grade AES-256 bit encryption.
The only way to get access to your files - enter the decryption key.
We garantee that you can recover all your files safely and easily.
All you need to do is submit the payment and purchase the private key.
 1. Send $500 worth of Bitcoin to following adress:
3Ge8TedVhoYum3q1DAN42wVftkhH9MRVm2
If you don't know about Bitcoin you can buy it from here:
www.coinbase.com   or  www.localbitcoins.com  or try google.com
 2. After payment send your ID and contact email to:
pouranesd@cliptik.net
YOUR ID: JBIGF-DZWWJ-CZTFL
and we will send INSTRUCTIONS and KEY for recovery.
IMPORTANT: YOU HAVE ONLY 48 HOURS FOR PAYMENT
PLEASE DON'T EVEN TRY TO RECOVER FILES BY YOURSELF
IN CASE IF YOU WILL TRY TO DO SOMETHING WITHOUT KEY
ACCESS TO YOUR FILES WILL BE PERMANENTLY LOST!
DON'T EVEN TOUCH ANYTHING! OR
ACCESS TO YOUR FILES WILL BE PERMANENTLY LOST!

Перевод записки на русский язык:
ВНИМАНИЕ! ! !
Важные файлы на вашем компьютере зашифрованы военным классом AES-256 бит шифрованием.
Единственный способ получить доступ к вашим файлам - ввести ключ дешифрования.
Мы гарантируем, что вы можете безопасно и легко восстановить все ваши файлы.
Все, что вам нужно сделать, это заплатить и купить закрытый ключ.
  1. Отправьте биткоины на $500 на следующий адрес:
3Ge8TedVhoYum3q1DAN42wVftkhH9MRVm2
Если вы не знаете о Биткоине, вы можете купить его здесь:
www.coinbase.com или www.localbitcoins.com или попробуйте google.com
  2. После оплаты отправьте ваш ID и контакт на email:
pouranesd@cliptik.net
ВАШ ID: JBIGF-DZWWJ-CZTFL
и мы вышлем ИНСТРУКЦИИ и КЛЮЧ для восстановления.
ВАЖНО: У ВАС ЕСТЬ ТОЛЬКО 48 ЧАСОВ ДЛЯ ОПЛАТЫ
ДАЖЕ НЕ ПЫТАЙТЕСЬ ВОССТАНОВИТЬ ФАЙЛЫ
В СЛУЧАЕ, ЕСЛИ ВЫ ПОПРОБУЕТЕ СДЕЛАТЬ ЧТО-ТО БЕЗ КЛЮЧА
ДОСТУП К ВАШИМ ФАЙЛАМ БУДЕТ НАВСЕГДА ПОТЕРЯН!
НЕ ДОТРАГИВАЙСЯ НИ ДО ЧЕГО! ИЛИ ЖЕ
ДОСТУП К ВАШИМ ФАЙЛАМ БУДЕТ НАВСЕГДА ПОТЕРЯН!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pouranesd@cliptik.net
BTC: 3Ge8TedVhoYum3q1DAN42wVftkhH9MRVm2
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Kali)
 Write-up, Topic of Support
 * 

 Thanks: 
 BleepingComputer, Michael Gillespie
 Andrew Ivanov, Emmanuel_ADC-Soft
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

PewCrypt

PewCrypt Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем и заставляет вас подписаться на YouTube-канал. Оригинальное название: PewCrypt. Написан: на языке Java.

© Генеалогия: предыдущие Java-вымогатели >> PewCrypt

Логотип, тиражируемый фанатами

К зашифрованным файлам добавляется расширение: .PewCrypt

Предыстория вымогательства: 
Несколько месяцев держится противостояние "PewDiePie vs T-Series" в Интернете, при этом хакеры всех мастей и степеней "крутости" всеми мыслимыми и немыслимыми способами пытаются удержать канад шведского видеоблогера PewDiePie по числу подписчиков выше, чем канал индийской компании T-Series. 
Канал PewDiePie пять лет был первым в YouTube. Ранее хакеры-фанаты PewDiePie заставили принтеры по всему миру печатать призывы подписываться на PewDiePie. 

Потом этого оказалось мало и появились программы-вымогатели: PewDiePie Ransomware, основанный на ShellLocker Ransomware и написанный на языке .NET, и описываемый в этой статье PewCrypt Ransomware, который также поддерживает канал PewDiePie. 

Странно что подобные выходки не преследуются по закону и не ведут к аннулированию результатов, накрученных фанатами PewDiePie. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранние образцы этого крипто-вымогателя были обнаружены ещё в начале декабря 2018 года (через некоторое время я перемещу статью в декабрьский список). Вновь они были представлены во второй половине февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста с экрана:
Your Files Have Been Encrypted
Pewdiepie Sub Count: 87149078
T-Series Sub Count: 87002517
Your files have been encrypted using a 256 bit AES key which has been encrypted with a 2048 bit RSA key
In order to get your files back read the instructions bellow
Instructions:
 - Subscribe to Pewdiepie (Hint: Hit the bro fist)
 - Wait until Pewdiepie reaches 100 million subs at which point a decryption tool will be realseaed
If T-Series beats Pewdiepie THE PRIVATE KEY WILL BE DELETED AND YOU FILES GONE FOREVER!

Перевод текста на русский язык:
Ваши файлы были зашифрованы
Подсчет Pewdiepie: 87149078
Подсчет T-серии: 87002517
Ваши файлы были зашифрованы с 256-битным AES-ключом, который был зашифрован с 2048-битным RSA-ключом
Чтобы получить ваши файлы обратно, прочтите инструкции ниже
Инструкции:
  - Подпишитесь на Pewdiepie (Подсказка: удар кулаком)
  - Подождите, пока Pewdiepie не достигнет 100 миллионов подписок, после чего инструмент дешифрования будет реализован
Если T-Series выиграет у Pewdiepie, ЧАСТНЫЙ КЛЮЧ БУДЕТ УДАЛЕН, И ФАЙЛЫ ПРОПАДУТ НАВСЕГДА!

Технические детали

Ничего не известно о распространении и пострадавших. Разработчик этого Ransomware добровольно предоставил дешифровщик (ссылка после статьи). Говорит, что изучал Java, для чего и сделал PewCrypt. 
Если кто-то возьмёт этот шифровальщик для своих целей, то он может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании пропускаются файлы размером более 20 Мб и расширения .PewCrypt, .exe, jar, .dll.

Мьютексты:
Shell.CMruPidlList
_SHuassist.mtx

Файлы, связанные с этим Ransomware:
PewCrypt.exe - исполняемый файл вымогателя
javaw.exe - исполняемый файл вымогателя
<random>.exe - случайное название
AES.key - специальный файл, оставленный на Рабочем столе
PewDecrypt.exe - дешифровщик от разработчика

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\AppData\Local\Temp\imageio8834113908193005117.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT на дешифровщик >>
🐞 Intezer analysis >>   IA на дешифровщик >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Разработчик предоставил дешифровщик PewDecrypt
Ссылка на Google-диск >> 
***
Затем Emsisoft выпустили безопасный дешифровщик
Ссылка на Emsisoft Decrypter для PewCrypt >> 
Подробная инструкция прилагается

 Read to links: 
 Tweet on Twitter + devTweet + myTweet
 ID Ransomware (ID as PewCrypt)
 Write-up, Topic of Support
 * 

 * 

 Thanks: 
 A K, Konnor88
 Andrew Ivanov (author)
 Leo, Michael Gillespie
 __JustMe__ (dev)
 

© Amigo-A (Andrew Ivanov): All blog articles.

PewDiePie

PewDiePie Ransomware

(шифровальщик-вымогатель, деструктор)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует подписаться на youtube-канал, чтобы вернуть файлы. Оригинальное название: PewDiePie 1.0.0.0. На файле написано: PewDiePie.exe. Написан на .NET Framework. 

© Генеалогия: ShellLocker >> PewDiePie Ransomware

К зашифрованным файлам добавляется расширение: .PewDiePie


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину декабря 2018 г. Штамп времени: 15 декабря 2018. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Смотрите также статью PewCrypt Ransomware. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
You Have Been Fucked By PewDiePie RansomWare.
You have 2 days to help PewDiePie win the batte against TSeries by subscribing.
The only thing you have to do is to follow the link given below.
xxxxs://youtube.com/channel/UC˨HJZR3Gqxm24_Vd_AJ5Yw?sub_confirmation=1

Перевод записки на русский язык:
Вы были трахнуты PewDiePie RansomWare.
У вас 2 дня, чтобы помочь PewDiePie выиграть битву с TSeries, подпиской.
Всё, что вам нужно сделать, это перейти по ссылке ниже.
xxxxs://youtube.com/channel/UC˨HJZR3Gqxm24_Vd_AJ5Yw?sub_confirmation=1

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Новый безопасный ключ генерируется для каждой буквы диска и вымогатели не заботились о том, чтобы сохранить какой-либо из них. Так что даже сами вымогатели не смогут расшифровать файлы. Уплата выкупа бесполезна. Уплата выкупа бесполезна! 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
PewDiePie.exe (svchost.exe)
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ShellLocker)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Mercury

Mercury Ransomware

Planetary Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.Encoder.27993, Trojan.Encoder.27678
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
Symantec -> Trojan.Gen.MBT
Malwarebytes -> Ransom.HiddenTear
ESET-NOD32 -> A Variant Of MSIL/Filecoder.SB

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

Этимология названия:
Первоначально (в декабре 2018 года) нам был известен только вариант с расширением .Mercury. Вымогатели напрямую не сообщили названия своего шифровальщика, а только использовали расширение с большой буквы. Поэтому я дал название статье и шифровальщику Mercury Ransomware. Позже появились варианты с другими расширениями. Затем появились варианты с названиями планет в расширениях и Майкл добавил общую идентификацию в группу Planetary, но "парад планет" продержался только три названия (Меркурий, Плутон, Нептун), видимо, на этом познания вымогателей в астрологии исчерпались. 

К зашифрованным файлам добавляется расширение: .Mercury


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Известно о пострадавших из Китая и Японии. 

Записка с требованием выкупа называется: !!!READ_IT!!!.txt

Содержание записки о выкупе:
!!! ATTENTION, YOUR FILES WERE ENCRYPTED !!!
Please follow few steps below:
1.Send us your ID.
2.We can decrypt 1 file what would you make sure that we have decription tool!
3.Then you'll get payment instruction and after payment you will get your decryption tool!
 Do not try to rename files!!! Only we can decrypt all your data!
 Contact us:
getmydata@india.com
mydataback@aol.com
Your ID: [redacted 64 uppercase hex]:[redacted 64 uppercase hex with dashes]
[redacted 64 uppercase hex with dashes]:[redacted 64 uppercase hex with dashes]

Перевод записки на русский язык:
!!! ВНИМАНИЕ, ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ !!!
Пожалуйста, выполните несколько шагов ниже:
1. Отправьте нам свой ID.
2. Мы можем расшифровать 1 файл, что бы вы убедились, что у нас есть инструмент расшифровки!
3. После этого вы получите инструкцию по оплате и после оплаты получите инструмент для расшифровки!
  Не пытайтесь переименовывать файлы !!! Только мы можем расшифровать все ваши данные!
  Связь с нами:
getmydata@india.com
mydataback@aol.com
Твой ID: [тут 64 прописных hex-знака]:[тут 64 прописных hex-знака с тире]
[тут 64 прописных hex-знака с тире]:[тут 64 прописных hex-знака с тире]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!READ_IT!!!.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: getmydata@india.com
mydataback@aol.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 7 февраля 2019: 
Пост в Твиттере >>
Расширение: .pluto
Записка: !!!READ_IT!!!.txt
Email: getmydata@india.com
mydataback@aol.com

Обновление от 10 февраля 2019:
Пост в Твиттере >>
Расширение: .mecury
Записка: !!!READ_IT!!!.txt
В расширении была допущена типичная ошибка для слова mercury. 

Обновление от 4 марта 2019:
Пост в Твиттере >>
Расширение: .Neptune
Записка: !!!READ_IT!!!.txt

Обновление от 12 марта 2019:
Пост в Твиттере >>
Расширение: .yum
Записка: !!!READ_IT!!!.txt

Слово для расширения, видимо, было взято из видеоигры Xenoblade, где есть персонаж Yumyum.  


Обновление от 21 марта 2019:
Пост в Твиттере >>
Расширение: .mira
Записка: !!!READ_IT!!!.txt 
Результаты анализов: VT

Mira добавляет всю информацию, необходимую для дешифрования, в сам зашифрованный файл. Подробнее в статье от F-Secure.
Слово для расширения, видимо, было взято из видеоигры Xenoblade, где есть такая вымышленная планета Mira. 


Обновление от 20 июня 2019:
Пост в Твиттере >>
Расширение: .Amigo-X3

Email: 575913661@qq.com
recoverymydata@protonmail.com
mydatarecovery@india.com
Записка: !!!READ_IT!!!.txt
Результаты анализов: VT + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
1) Для зашифрованных файлов есть дешифровщик
Скачать PlanetaryDecrypter для дешифровки >>
Подробная инструкция прилагается. 
2) Есть другой дешифровщик для варианта с расширением .mira
Описание. Скачать дешифровщик Mira Ransomware по ссылке >> 

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Planetary)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie (ID Ransomware author)
 Andrew Ivanov (author of this blog)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.